Kako prepoznati da problem možda nije običan kvar

Ransomware incident ne mora odmah početi velikom porukom preko celog ekrana. Prvi znak može biti dokument koji više ne može da se otvori, nova ekstenzija na fajlovima, neuobičajeno spor NAS, nestali shared folderi ili antivirus upozorenje na jednom računaru.

Važno je razlikovati izolovan kvar aplikacije od problema koji se širi. Ako više fajlova ili korisnika istovremeno ima isti simptom, ponašajte se kao da je incident ozbiljan dok se ne dokaže suprotno.

  • Fajlovi iznenada imaju drugačije nazive ili ekstenzije.
  • Više dokumenata ne može da se otvori.
  • Pojavljuje se poruka sa zahtevom za uplatu ili kontakt.
  • Mrežni folder postaje spor, nedostupan ili pokazuje masovne izmene.
  • Antivirus prijavljuje pretnju ili pokušaj isključivanja zaštite.
Provera bezbednosnog incidenta na poslovnom računaru
Kod sumnje na ransomware prvo se ograničava širenje incidenta, a zatim se proveravaju nalozi, uređaji, mreža i dostupne backup kopije.

Prvih 10 minuta: izolujte pogođeni uređaj

Isključite mrežni kabl ili WiFi na sumnjivom računaru. Ako je pogođen server ili NAS, nemojte ga gasiti nasumično bez procene, ali odmah ograničite pristup sa drugih računara. Cilj je da se prekine komunikacija i širenje, a da se sačuvaju informacije potrebne za analizu.

  • Ne priključujte eksterni backup disk.
  • Ne otvarajte dodatne fajlove da biste proveravali koliko ih je pogođeno.
  • Ne šaljite sumnjive dokumente kolegama.
  • Ne brišite poruke, logove ili datoteke koje mogu objasniti početak incidenta.

Do 30. minuta: utvrdite obim i sačuvajte činjenice

Zabeležite vreme kada je problem primećen, ime korisnika, naziv računara, tekst upozorenja i foldere koji su pogođeni. Proverite da li se simptomi pojavljuju i na drugim radnim stanicama, serveru, NAS-u ili cloud sinhronizaciji.

Ove informacije pomažu da se utvrdi da li je problem lokalni, da li se širi kroz mrežne dozvole i koja kopija podataka može biti bezbedna za oporavak.

  • Ko je prvi primetio problem i u koliko sati?
  • Koji računar i korisnički nalog su bili aktivni?
  • Da li su pogođeni lokalni ili mrežni fajlovi?
  • Da li je backup bio povezan i dostupan tom nalogu?
  • Da li je prethodila sumnjiva poruka, prilog ili prijava?

Do 60. minuta: zaštitite naloge i planirajte oporavak

Promena lozinki treba da se radi sa čistog i pouzdanog uređaja, počev od administratorskih, email i VPN naloga koji mogu biti ugroženi. Ne vraćajte backup dok se ne proveri ulazna tačka i dok se pogođeno okruženje ne izoluje.

Oporavak podataka ima smisla tek kada postoji razumna sigurnost da se pretnja neće odmah vratiti. Zato je važna kombinacija tehničke analize, provere pristupa i čistog, odvojenog backupa.

Šta firma može pripremiti pre incidenta

Najbolji ransomware plan nastaje pre napada. Firma treba da zna ko donosi odluke, gde su kontakti IT podrške, koji sistemi su kritični i koliko podataka može da izgubi. Redovno testiranje backupa i odvojeni administratorski nalozi skraćuju oporavak više nego bilo koja improvizacija u kriznom trenutku.

  • Kontakt lista za incident i odgovorne osobe.
  • Offline ili zaštićena kopija ključnih podataka.
  • Evidencija računara, servera, NAS uređaja i naloga.
  • Dogovoren prioritet: šta mora prvo da se vrati u rad.
  • Periodičan test vraćanja fajlova iz backupa.

Važno: Ne plaćajte, ne pregovarajte i ne pokušavajte nasumične alate pre stručne procene. Svaki incident je drugačiji, a pogrešan korak može uništiti tragove ili bezbednu kopiju podataka.

Zaključak

Prvih 60 minuta nisu vreme za paniku, već za izolaciju, beleženje činjenica i zaštitu naloga. Firma koja unapred ima backup, evidenciju i kontakt za IT podršku ima znatno jasniji put do nastavka rada.

Za procenu konkretnog poslovnog okruženja i sledećih koraka, kontaktirajte NBG TEAM.